為何企業也要小心中國 APT 攻擊?專訪獵殺中國駭客專家 TeamT5 蔡松廷
專訪:《TechOrange》社長戴季全 / 撰稿:廖紹伶
隨著國際政治局勢變化,資安威脅也不斷升級,其中又以國家級駭客發動的「APT 攻擊」備受關注。今年初,《華爾街日報》揭露中國駭客組織長年針對美國的大規模網路滲透,其目標不只關鍵基礎建設,還出現在諸多意想不到之處,顯示 APT 攻擊正出現新變化。
究竟 APT 攻擊和一般網路犯罪(cyber crime)有什麼不同? 最新的趨勢和手法是什麼?《全新一週》邀請到專門獵殺(Cyber Threats Hunting)中國駭客的資安專家,TeamT5 杜浦數位安全執行長蔡松廷,分享對中國 APT 攻擊的觀察,指出台灣已被鎖定 15 年以上,而企業為何該小心防禦?
中國 APT 攻擊已出現 2 大特徵
蔡松廷表示,APT 的定義是進階持續性的網路威脅(Advanced Persistent Threat),這類威脅擁有最先進的技術和持續的資源投入,目標是長期滲透和攻擊特別目標。不過,APT 攻擊通常與政府劃上等號,原因在於政府較有能力投入資金、技術和時間。相較之下,網路犯罪可能因為目標沒有價值、攻擊成本過高而放棄。
他點出,這種國家支持的 APT 攻擊,目前最愛的手法之一是,打入網路設備之後開始埋伏,在拿到最高權限之前,不輕易讓人發現。蔡松廷指出,如果攻擊一般電腦,現在防毒軟體、EDR 可能抓得到,「躲在網絡設備裡面就抓不到了。」
另外一個手法,稱為「就地取材」──這些中國駭客不用惡意程式,而是改用手動方式進入系統,再透過 Windows 本身提供的工具、合法工具等來滲透,讓系統無法判定為病毒、惡意程式,蔡松廷表示,這種作法越來越難偵測。
蔡松廷指出,最知名的 APT 攻擊事件,除了有微軟 2023 年揭露的中國駭客組織 Volt Typhoon 鎖定關島電廠等關鍵基礎設施,目的是在需要的時候可以發動攻擊,而這類攻擊在台灣早已相當普遍,TeamT5 觀察,鎖定時間已逾 15 年以上。
中國 APT 駭客走向商業化,民營公司扮演要角
2024 年初,中國資安業者安洵(i-Soon)內部文件外洩,也讓外界看到中國政府將 APT 攻擊「外包」給民間單位的新變化。蔡松廷表示,他認為整個事件突顯出,民營公司在中國政府支持的網路攻擊中,扮演比想像中還重要的角色。
這些民營公司承接政府指派的任務,簽約對象包含解放軍、國安部、警察等,這種合作模式運行多年,並且和中國一帶一路的政策策略相吻合。蔡松廷也觀察到,近年中國經濟不好、預算減少,這些公司也開始做網路勒索、偷資料,而他們擁有強大的 APT 攻擊能力,可能對一般企業造成重大威脅。
不只攻擊政府!民間企業成為 APT 鎖定目標和跳板
蔡松廷表示,十幾年來,中國 APT 的攻擊目標不只在公部門、軍方或關鍵基礎設施,還有很多是民間單位。他補充,只要你(企業)有中國駭客想要的資訊都是目標,例如和政府的合約,或是擁有很多個人資料的線上購物網站等──他們正在嘗試蒐集全台灣個資,拿來建立自己的個資資料庫,進而在線上或暗網販賣。
此外,蔡松廷也揭露另一種中國 APT 攻擊,是將許多中小企業當作跳板,也就是攻擊的「中繼站」。舉例來說,中國駭客如果找到的路由器、物聯網設備、影印機等,有企業不太會主動修補的安全漏洞,他們就可以一次控制成千上萬台裝置,而如果其中一台設備被阻擋入侵,也可以自動轉換到下一台設備去攻擊。蔡松廷指出,這種型態的攻擊更難追蹤。
新一波 APT 攻擊恐將來襲!企業該如何防禦?
蔡松廷表示,TeamT5 正在追蹤針對網路設備,甚至是資安設備的大規模攻擊行動,這些攻擊會利用設備漏洞滲透中大型單位與政府部門,「他們會先進去設備觀察有沒有他要的目標」,預估今年會有幾波大型行動。
當 APT 攻擊鎖定的目標不再限於政府單位,企業可以怎麼預防?蔡松廷建議,第一,公司需要先建立風險預防的概念,假設資安事件可能會發生,並思考萬一發生時該如何應對。
第二,他建議在組織內部至少要找到一到兩人負責資安,他們不只要懂 IT,也要有資安意識。因為,就算企業想要找資安代管公司外包,最難的就是確立自家想建立什麼樣的防禦機制、優先順序為何。
第三,投資資安是必要的,完全不投資卻想要有好的資安是不可能的。他認為,這就像買保險、找保全一樣的概念,企業也會感到更加安心。第四,定期備份資料,蔡松廷表示,這樣即使遇到勒索,也不會那麼害怕,可以在短時間內恢復服務和業務。
【推薦閱讀】
*本文開放合作夥伴轉載,圖片來源:《TechOrange》。